Беззубые антивирусы или как разрушалась сталь

«Беззубые» антивирусы, неспособные удалить из системы вредоносные программы и корректно восстановить работоспособность системы после заражения, фактически стали нормой. Антивирусные компании наперебой рассказывают о новых технологиях предотвращения заражения, при этом пропусков не становится меньше. Позволив вредоносному коду запуститься в системе, антивирусы становятся попросту бесполезными. Как и почему сложилась такая ситуация и пойдет речь в данной статье.

В борьбе брони и снаряда преимущество всегда на стороне последнего. Атакующий придумывает все новые способы пробить броню, в ответ на которые разрабатываются новые варианты брони. Ровно тоже самое происходит и в компьютерной безопасности. Преимущество и инициатива априори на стороне атакующего. Вирусописатели придумывают все новые методы противодействия обнаружению и удалению вредоносного кода.

И ни один антивирус не способен гарантировать 100% защиту компьютера, это признают сами производители. Поэтому, всегда будут оставаться риски заражения системы даже с современной антивирусной защитой на борту.

Пропущенная и установившаяся в системе вредоносная программа может длительное время не обнаруживаться установленным антивирусом. Пользователь же будет испытывать ложное чувство защищенности - его антивирус не сигнализирует о какой-либо опасности, в то время как его компьютер будет частью бот-сети, и с него будут собираться конфиденциальные данные.

На практике масса случаев, когда вредоносная программа обнаруживается антивирусом, но удалить ее он не в состоянии. Это вынуждает пользователя обращаться в техническую поддержку или же самостоятельно устранять заражение при помощи дополнительных утилит, зачастую – сторонних производителей. В ежедневной работе сервиса «Помогите» на VirusInfo.Info мы постоянно сталкиваемся с ситуацией, когда пользователь жалуется на аномалии в системе, в то время как его антивирус молчит. В большинстве случаев оказывается, что система заражена, но антивирус ничего не видел. Как же это получается?

 Дело в том, что в современных реалиях производители антивирусных программ в большинстве своем сосредоточены на предотвращении заражения, а задача лечения активного заражения (когда вредоносная программа установилась в системе) не находится в числе приоритетных, что вызывает недоумение.

Ситуация выглядит еще более странной, если посмотреть на нее в контексте прошедших 20 лет. В начале 90-х годов, еще до начала эпохи Microsoft Windows, лечение было, пожалуй, первостепенной задачей антивируса. Сканеров в режиме реального времени попросту не существовало, а задачей антивируса было найти вирусы, уничтожить, при этом корректно вылечив зараженные файлы. Наибольшую известность в нашей стране имели тогда ревизор диска ADinf с модулем ADinf Cure Module, который позволял в подавляющем большинстве случаев (почти 100%)  восстановить поврежденные вирусами файлы. Также был популярен сканер-полифаг от Dr.Web, шедший в комплекте с ADinf в рамках пакета DSAV.


Рисунок 1. Экран программы ADinf Cure Module

Экран программы ADinf Cure Module 

 

Прекрасно лечить заражение умел и AntiViral Toolkit Pro (впоследствии Антивирус Касперского). Т.е. первые антивирусы можно назвать, скорее, атакующими, чем защитниками.

В 90-е годы антивирус, неспособный лечить, рассматривался бы как пустышка.  Антивирусы сами обладали оружием, результатом их работы было обнаружение и удаление/лечение инфицированных объектов.

Прошло время, изменились ландшафт и природа угроз. Способности в лечении файлов или системы в целом стали теряться в гонке защиты от экспоненциально растущего количества новых образцов вредоносных программ. Например, проведенный нами в 2008 году тест антивирусов на обнаружение полиморфных вирусов показал, что есть проблемы даже на стадии обнаружения вирусов, не говоря уже о корректном лечении поражённых ими файлов. Как же обстоят дела с лечением системы, может быть, производители сосредоточили усилия на этой проблеме?

Anti-Malware.ru проводит тесты на лечение активного заражения с 2007 года. На прошлой неделе мы опубликовали результаты, уже шестого по счету теста на лечение. Мы видим, что средний уровень способностей лечения сложных вредоносных программ по индустрии остается примерно на одном уровне (41% - в 2010 году, 44% - в 2011 году,  38% - в 2012 году). Но вот количество антивирусов, которые умеют полноценно лечить, пугающе сократилось. В 2012 году барьер в 40% удалось преодолеть только 4 из 15 протестированных антивирусов.

Изменения в положении лидеров по способности лечить заразу минимальны. В ТОПе на протяжении нескольких лет уверенно себя чувствую только антивирус Касперского и Dr.Web. Norton и Avast постепенно сдают позиции. Серьезно прибавил лишь Bitdefender, очень надеюсь, что это не случайно.

 

Рисунок 2. Динамика изменения возможностей антивирусов по лечению активного заражения

Динамика изменения возможностей антивирусов по лечению активного заражения

               

Особая ситуация сложилась с троянами-вымогателями (Trojan.Winlock) и шифровальщиками (Trojan.Encoder). Эти классы вредоносных программ, попав в систему, попросту выходят за привычные рамки. Сделать что-либо с ними штатными средствами антивирусной программы невозможно, нужны специальные средства восстановления, утилиты, коды разблокировки и ключи шифрования. Но даже в этом случае никакой гарантии нет, вот яркий пример.

Так что же изменилось? Почему постепенно лечению перестало уделяться должное внимание?

Внятного ответа на этот вопрос нет. Не думаю, что у крупных антивирусных компаний мирового класса есть проблемы с созданием работающих процедур лечения для 15-20 семейств сложных вредоносных программ с руткит-маскировкой. Кто-то оправдывает своё бездействие наличием специальных утилит лечения, о которых из пользователей мало кто знает (просто так их использовать мало кто будет). Кто-то зарабатывает на своих же клиентах, предлагая платный сервис лечения за суммы, превышающие стоимость годовой подписки.

Увы, быть «беззубым» в области лечения становится почти нормой для антивирусной индустрии. Пропуск вредоносной программы в текущих условиях приводит к проблемам восстановления системы штатными средствами.

Возможно, мы на пороге ситуации, когда антивирусное лечение просто перестает работать, и вся надежда только на «антибиотики» в виде специальных утилит или ручное удаление? Этот вопрос остается открытым. Во всяком случае, на данном этапе развития защитных средств наблюдается сильный крен в сторону методов предотвращения попадания вредоносного кода на компьютер пользователя.

Но, несмотря на все обилие механизмов и их совместное применение – сигнатурных, поведенческих, репутационных, – непрекращающийся поток запросов на лечение в службах поддержки антивирусных производителей и на специализированных форумах показывает, что проблема лечения остаётся, по-прежнему, острой. 

  

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru